Répartition des adresses IP

Slides:



Advertisements
Présentations similaires
Sécurité informatique
Advertisements

Module Architectures et Administration des réseaux
Les protocoles réseau.
Page d accueil.
1re STG COMMUNICATION ET RESEAU INFORMATIQUE
(Routing Information Protocol)
Internet.
– Routage. Sommaire 1)Principes fondamentaux 1)Routage statique et dynamique 1)Convergence 1)Routage à vecteur de distance 1)Routage à état de liens 1)Systèmes.
- ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs.
– NAT et PAT.
14 - Adresse IP et interfaces. Plan détude 1)Adresse IP dune interface 1)Résolution de nom vers IP statique 1)Service DNS 1)Spécification des interfaces.
Firewall sous Linux Netfilter / iptables.
RFC 3581 “An extension to the Session Initiation Protocole for Symetric Response Routing”
Module 2 : Allocation de l'adressage IP à l'aide du protocole DHCP
Open System Interconnect reference model
Firewalling et NAT sous LINUX
Réseaux Privés Virtuels
Authentification contre Masquarade
Cours Présenté par …………..
UDP – User Datagram Protocol
Assistance à distance Parfois on se sent bien seul face à un problème informatique surtout si on n’est qu’un simple utilisateur. Lorsqu'un problème survient.
Configuration NAT Router Firewall RE16.
Les boîtiers multiservices
Introduction aux réseaux
SECURITE DU SYSTEME D’INFORMATION (SSI)
Session Initiation Protocol ( SIP ) Symmetric Response Routing
Lycée Général et Technologique du Rempart - Marseille.
1 Sécurité Informatique : Proxy Présenter par : Mounir GRARI.
Présenté par : Albéric Martel Fabien Dezempte 1.
Le protocole FTP.
Chapitre 4.
Mise en place du routeur DLINK MODELE: DSL-G604T.
Les relations clients - serveurs
Allexis Vicquelin & Ainhoa Martinez Le Switch
Introduction à l’architecture de l’Internet
Support des services et des serveurs Serveur DHCP.
Répartition des adresses IP
Le protocole d’authentification
ARP Le protocole ARP Pour qui utilise-t-on le protocole ARP ? ou
Introduction La technique des VLANs (Virtual Local Area Network) permet de donner au réseau l’architecture logique souhaitée par l’administrateur, en le.
Les listes de contrôle d’accès
SIO SISR2 : Conception des Infrastructures Réseaux
Module 4 : Résolution de noms
Université du Québec à Montréal Laboratoire des systèmes répartis
Préparer par : Badr Mahdari Othmane Habachi Encadrer par:
Advisor Advanced IP Présentation Télémaintenance Télésurveillance.
Introduction à la sécurité des interconnexions Internet
Configuration de NAT & PAT
FTP : File Transfer Protocol (protocole de transfert de fichier ) est un protocole de communication destiné à l'échange informatique de fichiers sur.
Le protocole DHCP.
Création et gestion de comptes d'utilisateur
Réseaux Informatiques
Mise en place de translation d’adresses NAT/PAT
NAT Network Address Translation PAT Port Address Translation
JeanDo Lénard – Fondamentaux de l'Internet – Hetic –30 Janvier 2007 page 1 Fondamentaux de l'Internet (FDI) JeanDo Lénard
État de l'art et fonctionnement des firewalls applicatifs compatibles avec les protocoles "multimédia" H323 et SIP FI Option RIO le 28/09/2004 Claire.
Architecture Client/Serveur
Projet Réseau Jessy KLAMM / Julien TUMSONET / Nicolas JAMBU / Romuald CADORET / Mickaël MARTINOT / Germain MOMMER.
Configuration NAT Dynamique
Configuration NAT Statique Lyon1 FAI S0/0 E0/0 Station A Station B S0/0 Lo0 Objectif Le but est de configurer la traduction NAT (Network Address Translation)
CHAPITRE 4 La couche réseau
Synthèse: une journée dans la vie d'une requête Web 5: DataLink Layer5-1.
ARP Fonctionnement.
Formation diff avancée Ca va être bien ;).  Simplex: Unidirectionel  Full duplex: dans les deux sens  Half duplex: dans les deux sens, mais pas en.
NAT (scénario 1) 1 NAT y1 Adresses publiques du NAT z1 = ______ z2 = ______ z3 = ______ INTERNET RÉSEAU LOCAL y2 x1.
Chapitre8 Configuration de l'adressage TCP/IP et de la résolution de noms Module S41.
1 P ROTOCOLE DHCP Dynamic Host Configuration Protocol.
RE161 Répartition des adresses IP Le problème de la répartition des adresses IP dans le réseau doit être résolu avec comme objectifs : –de rendre le réseau.
Transcription de la présentation:

Répartition des adresses IP Le problème de la répartition des adresses IP dans le réseau doit être résolu avec comme objectifs : de rendre le réseau aussi lisible que possible (facilité de maintenance et modifications) s’accommoder de la pénurie des adresses IP publiques participer à la sécurité RE16

Répartition des adresses IP Les outils utilisés pour faire les choix de répartition des adresses sont : la translation d’adresses (Network Address Translation NAT) et translation de ports (Port Address Translation PAT) le protocole DHCP Ces outils permettent d’organiser le réseau pour qu’un minimum d’adresses publiques soit utilisées, ce qui est : bon pour la sécurité satisfaisant dans le contexte de pénurie d’adresses RE16

RFC 1918 Toutes les infos sur les classes privées peuvent être trouvées sur : http://www.unoverica.com/documentation/ucm/mt211ai6.html RE16

NAT : définitions Le NAT permet d’attribuer des adresses privées aux machines internes du réseau, et cependant de leur permettre d’accéder à Internet Dans un contexte NAT, pour comprendre une transmission, il faut faire intervenir 4 adresses IP : adresse locale interne adresse locale externe adresse distante externe adresse distante interne RE16

NAT pur On utilise dans ce cas autant d’adresses publiques qu’il y a d’adresses privées Cette technique n’est jamais utilisée sous cette forme, elle est montrée ici pour expliquer le fonctionnement On parle aussi dans ce cas de NAT statique RE16

NAT pur 4 2 AD : 10.0.0.3 AS : 200.0.0.3 AS : 10.0.0.3 AD : 200.0.0.3 1 3 Table de translation … … 10.0.0.1 200.0.0.1 10.0.0.2 200.0.0.2 10.0.0.3 200.0.0.3 10.0.0.4 200.0.0.4 RE16

NAT pur Une machine locale envoie un paquet avec comme adresse source son adresse privée Le routeur chargé de la translation fait correspondre à chaque adresse privée, une adresse publique. Il envoie vers l’extérieur le paquet IP en changeant l’adresse source privée par son correspondant publique Le destinataire reçoit un paquet IP dont il pense qu’il vient d’une machine ayant une adresse publique et va donc y répondre Le routeur reçoit la réponse, fait la correspondance dans le sens adresse publique – adresse privée et retransmet le paquet modifié à la bonne machine interne RE16

La translation se fait à la fois sur l’adresse IP NAT et PAT Il est illusoire de chercher à faire correspondre une adresse publique à chaque adresse privée Il faut combiner le NAT et le PAT pour utiliser en sortie un nombre d’adresses IP publiques largement inférieur au nombre des adresses privées à translater : La translation se fait à la fois sur l’adresse IP et le numéro de port RE16

NAT et PAT Dans le cas de la translation vers une seule adresse IP en sortie, on parle de PAT pur Dans le cas de la translation vers plusieurs adresses en sortie (mais quand même beaucoup moins nombreuses que les adresses internes), on parle de NAT dynamique RE16

PAT pur Dans le cas du PAT pur, toutes les adresses privées sont translatées vers une seule adresse publique Le routeur retrouvera la bonne adresse privée grâce au numéro de port TCP RE16

PAT pur 4 2 AD : 10.0.0.3:1031 AS : 200.0.0.1:1522 1 3 AS : 10.0.0.3:1031 AD : 200.0.0.1:1522 Table de translation 10.0.0.1:1441 200.0.0.1:1518 10.0.0.2:3712 200.0.0.1:1519 10.0.0.3:1030 200.0.0.1:1520 10.0.0.4:1714 200.0.0.1:1521 10.0.0.3:1031 200.0.0.1:1522 … … 2 RE16

PAT pur Une machine locale envoie un paquet IP en mettant son adresse privée comme source et en utilisant un certain numéro de port TCP Le routeur local crée une ligne de plus dans sa table de translation, dans laquelle il inscrit : l’adresse privée source avec le numéro de port TCP utilisé par l’utilisateur interne l’adresse publique et le numéro de port qu’il utilise pour translater Le serveur distant répond au routeur sans se rendre compte de quoi que ce soit Le routeur procède à la translation inverse en cherchant la bonne entrée dans sa table de translation RE16

NAT et PAT Dans le cas général, on utilise plusieurs adresses publiques en sortie, mais elles sont toujours beaucoup moins nombreuses que les adresses privées internes Le routeur applique un algorithme pour répartir les adresses et choisir les numéros de ports qu’il utilise RE16

NAT et PAT 4 2 AD : 10.0.0.3:1031 AS : 200.0.0.1:1522 1 AS : 10.0.0.3:1031 3 AD : 200.0.0.1:1522 Table de translation 10.0.0.1:1441 200.0.0.1:1518 10.0.0.2:3712 200.0.0.2:2512 10.0.0.3:1030 200.0.0.2:2513 10.0.0.4:1714 200.0.0.3:7421 10.0.0.3:1031 200.0.0.4:6665 … … 2 N adresses possibles RE16 n (<N) adresses possibles

Serveurs publics Le NAT peut aussi être utilisé pour des serveurs publics Un administrateur peut faire le choix de donner des adresses privées à ses serveurs publics Il doit alors installer une translation statique pour les rendre visibles depuis l’Internet La translation peut alors être vue comme un autre niveau de filtrage, en plus des ACLs, dans le sens où, les paquets qui ne peuvent être translatés sont tout simplement ignorés RE16

Serveurs publics RE16 Table de translation des utilisateurs 172.16.0.14:1441 193.50.230.241:1518 172.16.10.2:3712 193.50.230.241:1519 172.16.0.3:1030 193.50.230.241:1520 172.16.0.3:1714 193.50.230.241:1521 172.16.11.58:1031 193.50.230.241:1522 … … Table de translation des serveurs … … 192.168.0.2:80 193.50.230.241:80 RE16

Translation du DNS Le serveur DNS pose un problème particulier pour la translation En effet, le DNS est utilisé à la fois : par les postes internes pour lesquels les serveurs publics doivent être visibles par leur @IP privée et par les utilisateurs externes pour lesquels les serveurs publics doivent être visibles par leur @IP publique Cela signifie que le DNS doit fournir des réponses différentes, en fonction de l’origine de la requête ! Certains administrateurs choisissent d’installer deux DNS pour le même domaine : un pour les utilisateurs internes un autre pour les utilisateurs externes RE16

Cas d’une requête externe Table de translation des serveurs … 192.168.0.1:53 193.50.230.241:53 192.168.0.2:80 193.50.230.241:80 … … Connu du DNS demandeur 1 AD : 193.50.230.241:53 2 AD : 192.168.0.1:53 dns : www.utt.fr ? dns : www.utt.fr ? AS : 193.50.230.241 4 www.utt.fr : 193.50.230.241 3 AS : 192.168.0.1:53 www.utt.fr : 193.50.230.241 RE16

Cas d’une requête interne Connu par les paramètres TCP/IP AD : 192.168.0.1:53 1 dns : www.utt.fr ? 2 AS : 192.168.0.1:53 www.utt.fr : 192.168.0.2 RE16

Translation du DNS Certains firewall sont capables de changer les adresses IP contenues dans les réponses DNS ! Dans ce cas il n’est pas utile d’en installer deux Cette technique est aussi utile pour d’autres protocoles Elle est nécessaire pour tous les protocoles qui transportent des adresses IP comme argument RE16

Il faut que le translateur remplace l’adresse transmise en argument NAT et FTP FTP transporte des adresses IP comme argument : par exemple la commande PORT Au récepteur, le serveur verra un paquet IP avec une adresse source qui sera différente de celle passée en argument : cela risque de poser des problèmes ! Il faut que le translateur remplace l’adresse transmise en argument RE16

NAT et FTP L’adresse argument est codée en ASCII Ce code est de taille variable selon l’adresse Le translateur doit donc : Repérer l’@IP dans les données Mettre l’@IP de translation à la place Recalculer tous les cheksum Changer les numéros de séquence puisque le paquet IP peut changer de taille RE16

NAT et autres applications Le même problème se pose pour d’autres applications : ICMP DNS rlogin Rsh SMTP etc … RE16

NAT et équilibrage de charge Le NAT peut permettre l’équilibrage de charge entres plusieurs serveurs Grâce au NAT, les clients voient un seul serveur, alors que physiquement, plusieurs se partagent le travail Grâce au NAT RE16

NAT et équilibrage de charge Le cleint se connecte en utilisant toujours la même adresse IP, celle donnée par le DNS Le translateur à l’entrée du réseau des serveurs translate l’@IP destination de la requête vers l’adresse de l’un des serveurs physiques Le choix du srveur physique repose sur un algorithme d’équilibrage de charge exécuté par le translateur Ainsi le translateur doit : Suivre les sessions TCP pour diriger les bon,s paquets vers les bons serveurs Mesurer la charge sur chaque serveur (en comptant les paquets par exemple) Décider de la translation vers le serveur le moins chargé RE16

NAT et serveurs de secours Comme pour l’équilibrage de charge, le translateur peut « cacher » plusieurs serveurs physiques derrière un serveur « virtuel » Cela permet la redondance des serveurs et donc une meilleure disponibilité RE16

NAT PAT : avantages Permet d’utiliser des adresses privées pour le réseau interne : donne toute la souplesse utile pour le choix des adresses rend les machines internes indétectables de l’extérieur Permet d’utiliser des adresses privées pour les serveurs publics : permet de « cacher » plusieurs serveurs derrière une seule adresse oblige l’administrateur à expliciter toutes les connexions autorisées Dans les deux cas, le changement des adresses publiques (pour cause de changement de FAI) se fera simplement en modifiant le NAT, et pas toutes les machines RE16

Bénéfices pour la sécurité Les paquets qui entrent dans le réseau sont translatés seulement si l’entrée correspondante existe dans la table NAT Dans le cas contraire, les paquets sont simplement ignorés Ainsi, une connexion qui n’a pas été initiée par une requête sortante ne rentrera pas sur le réseau privé (sauf dans le cas des serveurs publics) Cette propriété n’est cependant pas très performante pour la sécurité ! RE16

Bénéfices pour la sécurité Seules les connexions initiées depuis l’intérieur seront translatées en entrée, mais aucun compte n’est tenu des numéros de séquence/acquittement TCP Il ne s’agit donc pas du tout d’un vrai suivi de session TCP comme peuvent le faire certaines ACLs ! Aucune protection n’est apportée par rapport au contenu des données Le contrôle des utilisateurs autorisés à initier des connexions depuis l’intérieur ne se fait qu’avec une ACL rudimentaire Il est souvent utile de préciser quels flux pourront être translatés en sortie en ajoutant des ACLs plus évoluées en plus du NAT RE16

Bénéfices pour la sécurité Le NAT est utile d’abord pour donner une grande souplesse dans le choix des adresses IP des machines et des serveurs Le NAT présente des propriétés utiles pour la sécurité Pour la sécurité, l’utilisation du NAT n’est jamais suffisante, et ne dispense jamais la mise en place des autres outils (filtrage, firewall) En aucun cas une stratégie de sécurité ne doit reposer que sur le NAT RE16

Conclusion Puis-je identifier les techniques utiles parmi toutes les combinaisons des paramètres suivants : Translation statique / dynamique Translation adresse source / destination ? Translation sur les requêtes / réponses ? Quels paramètres sont à régler pour mettre en œuvre la translation ? La translation remet-elle en cause le filtrage ? Quelle décision dois-je prendre avec le DNS ? Dans quels cas le translateur doit-il suivre les sessions TCP ? Que dire alors des segments TCP fragmentés ? RE16